一種安全存摺的條碼信息存取系統的製作方法
2023-11-03 11:29:12
本發明涉及安全技術領域,具體涉及一種安全存摺的條碼信息存取系統。
背景技術:
相關技術中,銀行存摺上由於沒有記錄用戶的照片、籤名、指紋、電話和身份證等信息,且存摺磁條上記錄的信息很容易被改寫,存款容易被冒領,安全性不高。
技術實現要素:
為解決上述問題,本發明旨在提供一種安全存摺的條碼信息存取系統。
本發明的目的採用以下技術方案來實現:
提供了一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊、條碼信息雲資料庫和條碼信息識別模塊;所述信息編碼模塊用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
本發明的有益效果為:安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
附圖說明
利用附圖對本發明作進一步說明,但附圖中的實施例不構成對本發明的任何限制,對於本領域的普通技術人員,在不付出創造性勞動的前提下,還可以根據以下附圖獲得其它的附圖。
圖1是本發明結構連接示意圖。
圖2是本發明數據安全管理系統的結構示意圖。
附圖標記:
信息編碼模塊1、條碼信息雲資料庫2、條碼信息識別模塊3、數據安全管理系統4、數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43、安全管理中心44。
具體實施方式
結合以下實施例對本發明作進一步描述。
應用場景1
參見圖1、圖2,本應用場景的一個實施例的一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊1、條碼信息雲資料庫2和條碼信息識別模塊3;所述信息編碼模塊1用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫2用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊3用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
優選的,所述條碼信息識別模塊3通過條碼識讀設備進行條碼信息讀取。
本發明上述實施例在安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
優選的,所述條碼識讀設備包括接觸型圖像傳感器。
本優選實施例採用接觸型圖像傳感器進行條碼識讀,顯著提高了數據的密度。
優選的,所述條碼信息存取系統還包括用於對二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息數據進行安全管理的數據安全管理系統4;所述數據安全管理系統4包括數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43和安全管理中心44;所述數據服務系統40用於負責數據的存儲、備份及查詢;所述數據預處理系統41用於將需保密的數據進行預處理;所述雲存儲加解密系統42用於按照優化的訪問控制安全策略對需保密的數據進行加密或解密;所述控制系統43用於將數據存儲至相應的存儲設備;所述安全管理中心44用於對各系統安全進行統一監控管理。
本優選實施例構建了數據安全管理系統4的系統結構。
優選的,所述負責數據的存儲、備份及查詢,包括:
(1)對數據格式進行轉換,建立適用於非關係資料庫進行存儲的格式;
(2)將數據分為基礎數據和專業數據,採用集中式和分布式結合的策略對數據進行存儲,存儲時所有數據都進行備份;所述集中式和分布式結合的策略包括:對於高於預設頻率的基礎數據採用集中式存儲,由數據管理中心統一維護,對於低於預設頻率的專業數據採用分布式存儲,由各專業數據中心分別維護;
(3)建立相應的數據檢索算法,對數據進行快速檢索,所述數據檢索算法採用目錄檢索和搜尋引擎相結合的方式進行,具體包括:建立數據目錄,根據目錄對數據進行初步檢索;在搜尋引擎輸入關鍵詞,對數據進行精確檢索;搜尋引擎按照一定的方式尋找匹配的數據,並根據數據與關鍵詞的匹配程度進行排序反饋給用戶。
本優選實施例採用目錄檢索和搜尋引擎結合的檢索算法,能夠快速、準確的獲取數據。
優選的,所述對各系統安全進行統一監控管理,包括:
(1)針對數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43不同的安全防護要求採取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數據安全策略,對數據存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數據進行加密,同時對數據的傳輸協議進行加密;
(3)建立病毒和木馬防禦機制,定期更新病毒庫和升級防火牆,更新周期為T,T取值為6-10天,對檢測到的異常數據要進行分析,並發出預警。
本優選實施例實現了對各系統安全的統一監控管理。
優選的,所述數據預處理系統41包括數據分割單元、數據抽取單元和訪問控制安全策略優化單元,所述數據分割單元用於對需保密的數據分割成多個互斥的數據集合;所述數據抽取單元用於對所述互斥的數據集合按照自定義的排序規則進行排序,將每個數據集合中的第一個數據單元按序抽取出來,與所述排序規則一起保存作為小塊數據,其中所述互斥表示數據集合中的兩兩數據單元之間不存在任何關聯;所述訪問控制安全策略優化單元用於基於細粒度資源分割的訪問控制安全策略優化方法生成系統的訪問控制安全策略,包括:
(1)基於被數據抽取單元處理後的互斥的數據集合,構建層次化數據數結構,所述層次化數據樹結構為三層數據樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數據調度服務相關的樹根節點,所述邏輯層為訪問控制安全策略中關聯的數據,所述物理層包含所有互斥的數據集合中的數據單元;
(2)基於訪問控制標記語言XACML制定針對不同安全等級的數據的訪問控制安全策略,將訪問控制安全策略中與數據關聯的規則投影到所述互斥的數據集合中的數據單元上,從而將訪問控制安全策略中的規則細化到數據維度;
(3)在每個所述互斥的數據集合中的數據單元上進行規則優化,以刪除分配在每個數據單元上的規則的衝突和冗餘;
(4)合併優化後的規則,生成優化的訪問控制安全策略。
優選的,所述將數據存儲至相應的存儲設備,包括:
(1)將小塊數據存儲至本地存儲器,並採用用戶定義的加密技術對小塊數據進行加密;
(2)將剩餘數據通過雲存儲加解密系統42加密後存儲到條碼信息雲資料庫2中;其中,當條碼信息雲資料庫2接收到數據後,雲對該數據進行完整性校驗後保存在存儲節點中。
上述兩個優選實施例設置數據預處理系統41,先對需保密的數據進行數據分割和數據抽取處理,再進行訪問控制安全策略中的規則細化,可以減少數據存儲的物理存儲空間,降低存儲的開銷,並消除訪問控制安全策略中的衝突和冗餘,提高訪問控制決策效率;通過數據抽取處理抽取部分數據存儲到本地存儲器中,其餘數據設置相應的訪問控制安全策略後存儲至條碼信息雲資料庫2中,解決了傳統的基於單純加密技術的雲存儲數據隱私保障機制在實際的數據操作過程中帶來的比較大的系統開銷和繁瑣,可以有效防止惡意用戶或雲存儲管理員非法竊取、篡改用戶的隱私數據,提高了需保密的數據存儲的安全性能。
優選的,所述雲存儲加解密系統42主要由數據擁有者、屬性機構、雲、可信三方、用戶五個實體構成,所述對需保密的數據進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統參數為其中α為隨機整數;
B、對於每個合法用戶,可信三方分配UAID並為其生成證書:
同時,公布合法用戶的身份驗證參數其中,CUAID∈ZP;
C、為數據擁有者和合法用戶生成身份密鑰對;
(2)生成基於身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基於身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數,βAID為屬性更新參數,ASUAID,AID為根據屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數,γ,∝AID,βAID∈ZP;
(3)雲存儲加解密系統42利用數據密鑰對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT,然後分別利用身份公鑰和屬性公鑰對數據密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合併生成數據密鑰DK:
DK=IK||AK
B、利用數據密鑰DK對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT後,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數據請求時,雲利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數據擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數據解密時,用戶收到數據後,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然後重構數據密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
本優選實施例通過設置雲存儲加解密系統42,能夠實現對多類型的數據的細粒度訪問控制和隱私保護,同時抵禦用戶和屬性機構共謀;對需保密的數據,分別構造基於身份的加解密密鑰、屬性加解密密鑰,合併構成數據加密密鑰對該數據進行加密,從而只有同時滿足身份和屬性雙重條件的用戶可以解密,極大提高了數據安全管理系統4的安全性能。
在此應用場景中,更新周期T取6,系統的安全性相對提高了12%。
應用場景2
參見圖1、圖2,本應用場景的一個實施例的一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊1、條碼信息雲資料庫2和條碼信息識別模塊3;所述信息編碼模塊1用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫2用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊3用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
優選的,所述條碼信息識別模塊3通過條碼識讀設備進行條碼信息讀取。
本發明上述實施例在安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
優選的,所述條碼識讀設備包括接觸型圖像傳感器。
本優選實施例採用接觸型圖像傳感器進行條碼識讀,顯著提高了數據的密度。
優選的,所述條碼信息存取系統還包括用於對二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息數據進行安全管理的數據安全管理系統4;所述數據安全管理系統4包括數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43和安全管理中心44;所述數據服務系統40用於負責數據的存儲、備份及查詢;所述數據預處理系統41用於將需保密的數據進行預處理;所述雲存儲加解密系統42用於按照優化的訪問控制安全策略對需保密的數據進行加密或解密;所述控制系統43用於將數據存儲至相應的存儲設備;所述安全管理中心44用於對各系統安全進行統一監控管理。
本優選實施例構建了數據安全管理系統4的系統結構。
優選的,所述負責數據的存儲、備份及查詢,包括:
(1)對數據格式進行轉換,建立適用於非關係資料庫進行存儲的格式;
(2)將數據分為基礎數據和專業數據,採用集中式和分布式結合的策略對數據進行存儲,存儲時所有數據都進行備份;所述集中式和分布式結合的策略包括:對於高於預設頻率的基礎數據採用集中式存儲,由數據管理中心統一維護,對於低於預設頻率的專業數據採用分布式存儲,由各專業數據中心分別維護;
(3)建立相應的數據檢索算法,對數據進行快速檢索,所述數據檢索算法採用目錄檢索和搜尋引擎相結合的方式進行,具體包括:建立數據目錄,根據目錄對數據進行初步檢索;在搜尋引擎輸入關鍵詞,對數據進行精確檢索;搜尋引擎按照一定的方式尋找匹配的數據,並根據數據與關鍵詞的匹配程度進行排序反饋給用戶。
本優選實施例採用目錄檢索和搜尋引擎結合的檢索算法,能夠快速、準確的獲取數據。
優選的,所述對各系統安全進行統一監控管理,包括:
(1)針對數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43不同的安全防護要求採取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數據安全策略,對數據存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數據進行加密,同時對數據的傳輸協議進行加密;
(3)建立病毒和木馬防禦機制,定期更新病毒庫和升級防火牆,更新周期為T,T取值為6-10天,對檢測到的異常數據要進行分析,並發出預警。
本優選實施例實現了對各系統安全的統一監控管理。
優選的,所述數據預處理系統41包括數據分割單元、數據抽取單元和訪問控制安全策略優化單元,所述數據分割單元用於對需保密的數據分割成多個互斥的數據集合;所述數據抽取單元用於對所述互斥的數據集合按照自定義的排序規則進行排序,將每個數據集合中的第一個數據單元按序抽取出來,與所述排序規則一起保存作為小塊數據,其中所述互斥表示數據集合中的兩兩數據單元之間不存在任何關聯;所述訪問控制安全策略優化單元用於基於細粒度資源分割的訪問控制安全策略優化方法生成系統的訪問控制安全策略,包括:
(1)基於被數據抽取單元處理後的互斥的數據集合,構建層次化數據數結構,所述層次化數據樹結構為三層數據樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數據調度服務相關的樹根節點,所述邏輯層為訪問控制安全策略中關聯的數據,所述物理層包含所有互斥的數據集合中的數據單元;
(2)基於訪問控制標記語言XACML制定針對不同安全等級的數據的訪問控制安全策略,將訪問控制安全策略中與數據關聯的規則投影到所述互斥的數據集合中的數據單元上,從而將訪問控制安全策略中的規則細化到數據維度;
(3)在每個所述互斥的數據集合中的數據單元上進行規則優化,以刪除分配在每個數據單元上的規則的衝突和冗餘;
(4)合併優化後的規則,生成優化的訪問控制安全策略。
優選的,所述將數據存儲至相應的存儲設備,包括:
(1)將小塊數據存儲至本地存儲器,並採用用戶定義的加密技術對小塊數據進行加密;
(2)將剩餘數據通過雲存儲加解密系統42加密後存儲到條碼信息雲資料庫2中;其中,當條碼信息雲資料庫2接收到數據後,雲對該數據進行完整性校驗後保存在存儲節點中。
上述兩個優選實施例設置數據預處理系統41,先對需保密的數據進行數據分割和數據抽取處理,再進行訪問控制安全策略中的規則細化,可以減少數據存儲的物理存儲空間,降低存儲的開銷,並消除訪問控制安全策略中的衝突和冗餘,提高訪問控制決策效率;通過數據抽取處理抽取部分數據存儲到本地存儲器中,其餘數據設置相應的訪問控制安全策略後存儲至條碼信息雲資料庫2中,解決了傳統的基於單純加密技術的雲存儲數據隱私保障機制在實際的數據操作過程中帶來的比較大的系統開銷和繁瑣,可以有效防止惡意用戶或雲存儲管理員非法竊取、篡改用戶的隱私數據,提高了需保密的數據存儲的安全性能。
優選的,所述雲存儲加解密系統42主要由數據擁有者、屬性機構、雲、可信三方、用戶五個實體構成,所述對需保密的數據進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統參數為其中α為隨機整數;
B、對於每個合法用戶,可信三方分配UAID並為其生成證書:
同時,公布合法用戶的身份驗證參數其中,CUAID∈ZP;
C、為數據擁有者和合法用戶生成身份密鑰對;
(2)生成基於身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基於身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數,βAID為屬性更新參數,ASUAID,AID為根據屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數,γ,∝AID,βAID∈ZP;
(3)雲存儲加解密系統42利用數據密鑰對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT,然後分別利用身份公鑰和屬性公鑰對數據密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合併生成數據密鑰DK:
DK=IK||AK
B、利用數據密鑰DK對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT後,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數據請求時,雲利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數據擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數據解密時,用戶收到數據後,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然後重構數據密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
本優選實施例通過設置雲存儲加解密系統42,能夠實現對多類型的數據的細粒度訪問控制和隱私保護,同時抵禦用戶和屬性機構共謀;對需保密的數據,分別構造基於身份的加解密密鑰、屬性加解密密鑰,合併構成數據加密密鑰對該數據進行加密,從而只有同時滿足身份和屬性雙重條件的用戶可以解密,極大提高了數據安全管理系統4的安全性能。
在此應用場景中,更新周期T取7,系統的安全性相對提高了11%。
應用場景3
參見圖1、圖2,本應用場景的一個實施例的一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊1、條碼信息雲資料庫2和條碼信息識別模塊3;所述信息編碼模塊1用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫2用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊3用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
優選的,所述條碼信息識別模塊3通過條碼識讀設備進行條碼信息讀取。
本發明上述實施例在安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
優選的,所述條碼識讀設備包括接觸型圖像傳感器。
本優選實施例採用接觸型圖像傳感器進行條碼識讀,顯著提高了數據的密度。
優選的,所述條碼信息存取系統還包括用於對二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息數據進行安全管理的數據安全管理系統4;所述數據安全管理系統4包括數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43和安全管理中心44;所述數據服務系統40用於負責數據的存儲、備份及查詢;所述數據預處理系統41用於將需保密的數據進行預處理;所述雲存儲加解密系統42用於按照優化的訪問控制安全策略對需保密的數據進行加密或解密;所述控制系統43用於將數據存儲至相應的存儲設備;所述安全管理中心44用於對各系統安全進行統一監控管理。
本優選實施例構建了數據安全管理系統4的系統結構。
優選的,所述負責數據的存儲、備份及查詢,包括:
(1)對數據格式進行轉換,建立適用於非關係資料庫進行存儲的格式;
(2)將數據分為基礎數據和專業數據,採用集中式和分布式結合的策略對數據進行存儲,存儲時所有數據都進行備份;所述集中式和分布式結合的策略包括:對於高於預設頻率的基礎數據採用集中式存儲,由數據管理中心統一維護,對於低於預設頻率的專業數據採用分布式存儲,由各專業數據中心分別維護;
(3)建立相應的數據檢索算法,對數據進行快速檢索,所述數據檢索算法採用目錄檢索和搜尋引擎相結合的方式進行,具體包括:建立數據目錄,根據目錄對數據進行初步檢索;在搜尋引擎輸入關鍵詞,對數據進行精確檢索;搜尋引擎按照一定的方式尋找匹配的數據,並根據數據與關鍵詞的匹配程度進行排序反饋給用戶。
本優選實施例採用目錄檢索和搜尋引擎結合的檢索算法,能夠快速、準確的獲取數據。
優選的,所述對各系統安全進行統一監控管理,包括:
(1)針對數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43不同的安全防護要求採取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數據安全策略,對數據存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數據進行加密,同時對數據的傳輸協議進行加密;
(3)建立病毒和木馬防禦機制,定期更新病毒庫和升級防火牆,更新周期為T,T取值為6-10天,對檢測到的異常數據要進行分析,並發出預警。
本優選實施例實現了對各系統安全的統一監控管理。
優選的,所述數據預處理系統41包括數據分割單元、數據抽取單元和訪問控制安全策略優化單元,所述數據分割單元用於對需保密的數據分割成多個互斥的數據集合;所述數據抽取單元用於對所述互斥的數據集合按照自定義的排序規則進行排序,將每個數據集合中的第一個數據單元按序抽取出來,與所述排序規則一起保存作為小塊數據,其中所述互斥表示數據集合中的兩兩數據單元之間不存在任何關聯;所述訪問控制安全策略優化單元用於基於細粒度資源分割的訪問控制安全策略優化方法生成系統的訪問控制安全策略,包括:
(1)基於被數據抽取單元處理後的互斥的數據集合,構建層次化數據數結構,所述層次化數據樹結構為三層數據樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數據調度服務相關的樹根節點,所述邏輯層為訪問控制安全策略中關聯的數據,所述物理層包含所有互斥的數據集合中的數據單元;
(2)基於訪問控制標記語言XACML制定針對不同安全等級的數據的訪問控制安全策略,將訪問控制安全策略中與數據關聯的規則投影到所述互斥的數據集合中的數據單元上,從而將訪問控制安全策略中的規則細化到數據維度;
(3)在每個所述互斥的數據集合中的數據單元上進行規則優化,以刪除分配在每個數據單元上的規則的衝突和冗餘;
(4)合併優化後的規則,生成優化的訪問控制安全策略。
優選的,所述將數據存儲至相應的存儲設備,包括:
(1)將小塊數據存儲至本地存儲器,並採用用戶定義的加密技術對小塊數據進行加密;
(2)將剩餘數據通過雲存儲加解密系統42加密後存儲到條碼信息雲資料庫2中;其中,當條碼信息雲資料庫2接收到數據後,雲對該數據進行完整性校驗後保存在存儲節點中。
上述兩個優選實施例設置數據預處理系統41,先對需保密的數據進行數據分割和數據抽取處理,再進行訪問控制安全策略中的規則細化,可以減少數據存儲的物理存儲空間,降低存儲的開銷,並消除訪問控制安全策略中的衝突和冗餘,提高訪問控制決策效率;通過數據抽取處理抽取部分數據存儲到本地存儲器中,其餘數據設置相應的訪問控制安全策略後存儲至條碼信息雲資料庫2中,解決了傳統的基於單純加密技術的雲存儲數據隱私保障機制在實際的數據操作過程中帶來的比較大的系統開銷和繁瑣,可以有效防止惡意用戶或雲存儲管理員非法竊取、篡改用戶的隱私數據,提高了需保密的數據存儲的安全性能。
優選的,所述雲存儲加解密系統42主要由數據擁有者、屬性機構、雲、可信三方、用戶五個實體構成,所述對需保密的數據進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統參數為其中α為隨機整數;
B、對於每個合法用戶,可信三方分配UAID並為其生成證書:
同時,公布合法用戶的身份驗證參數其中,CUAID∈ZP;
C、為數據擁有者和合法用戶生成身份密鑰對;
(2)生成基於身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基於身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數,βAID為屬性更新參數,ASUAID,AID為根據屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數,γ,∝AID,βAID∈ZP;
(3)雲存儲加解密系統42利用數據密鑰對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT,然後分別利用身份公鑰和屬性公鑰對數據密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合併生成數據密鑰DK:
DK=IK||AK
B、利用數據密鑰DK對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT後,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數據請求時,雲利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數據擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數據解密時,用戶收到數據後,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然後重構數據密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
本優選實施例通過設置雲存儲加解密系統42,能夠實現對多類型的數據的細粒度訪問控制和隱私保護,同時抵禦用戶和屬性機構共謀;對需保密的數據,分別構造基於身份的加解密密鑰、屬性加解密密鑰,合併構成數據加密密鑰對該數據進行加密,從而只有同時滿足身份和屬性雙重條件的用戶可以解密,極大提高了數據安全管理系統4的安全性能。
在此應用場景中,更新周期T取8,系統的安全性相對提高了10%。
應用場景4
參見圖1、圖2,本應用場景的一個實施例的一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊1、條碼信息雲資料庫2和條碼信息識別模塊3;所述信息編碼模塊1用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫2用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊3用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
優選的,所述條碼信息識別模塊3通過條碼識讀設備進行條碼信息讀取。
本發明上述實施例在安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
優選的,所述條碼識讀設備包括接觸型圖像傳感器。
本優選實施例採用接觸型圖像傳感器進行條碼識讀,顯著提高了數據的密度。
優選的,所述條碼信息存取系統還包括用於對二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息數據進行安全管理的數據安全管理系統4;所述數據安全管理系統4包括數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43和安全管理中心44;所述數據服務系統40用於負責數據的存儲、備份及查詢;所述數據預處理系統41用於將需保密的數據進行預處理;所述雲存儲加解密系統42用於按照優化的訪問控制安全策略對需保密的數據進行加密或解密;所述控制系統43用於將數據存儲至相應的存儲設備;所述安全管理中心44用於對各系統安全進行統一監控管理。
本優選實施例構建了數據安全管理系統4的系統結構。
優選的,所述負責數據的存儲、備份及查詢,包括:
(1)對數據格式進行轉換,建立適用於非關係資料庫進行存儲的格式;
(2)將數據分為基礎數據和專業數據,採用集中式和分布式結合的策略對數據進行存儲,存儲時所有數據都進行備份;所述集中式和分布式結合的策略包括:對於高於預設頻率的基礎數據採用集中式存儲,由數據管理中心統一維護,對於低於預設頻率的專業數據採用分布式存儲,由各專業數據中心分別維護;
(3)建立相應的數據檢索算法,對數據進行快速檢索,所述數據檢索算法採用目錄檢索和搜尋引擎相結合的方式進行,具體包括:建立數據目錄,根據目錄對數據進行初步檢索;在搜尋引擎輸入關鍵詞,對數據進行精確檢索;搜尋引擎按照一定的方式尋找匹配的數據,並根據數據與關鍵詞的匹配程度進行排序反饋給用戶。
本優選實施例採用目錄檢索和搜尋引擎結合的檢索算法,能夠快速、準確的獲取數據。
優選的,所述對各系統安全進行統一監控管理,包括:
(1)針對數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43不同的安全防護要求採取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數據安全策略,對數據存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數據進行加密,同時對數據的傳輸協議進行加密;
(3)建立病毒和木馬防禦機制,定期更新病毒庫和升級防火牆,更新周期為T,T取值為6-10天,對檢測到的異常數據要進行分析,並發出預警。
本優選實施例實現了對各系統安全的統一監控管理。
優選的,所述數據預處理系統41包括數據分割單元、數據抽取單元和訪問控制安全策略優化單元,所述數據分割單元用於對需保密的數據分割成多個互斥的數據集合;所述數據抽取單元用於對所述互斥的數據集合按照自定義的排序規則進行排序,將每個數據集合中的第一個數據單元按序抽取出來,與所述排序規則一起保存作為小塊數據,其中所述互斥表示數據集合中的兩兩數據單元之間不存在任何關聯;所述訪問控制安全策略優化單元用於基於細粒度資源分割的訪問控制安全策略優化方法生成系統的訪問控制安全策略,包括:
(1)基於被數據抽取單元處理後的互斥的數據集合,構建層次化數據數結構,所述層次化數據樹結構為三層數據樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數據調度服務相關的樹根節點,所述邏輯層為訪問控制安全策略中關聯的數據,所述物理層包含所有互斥的數據集合中的數據單元;
(2)基於訪問控制標記語言XACML制定針對不同安全等級的數據的訪問控制安全策略,將訪問控制安全策略中與數據關聯的規則投影到所述互斥的數據集合中的數據單元上,從而將訪問控制安全策略中的規則細化到數據維度;
(3)在每個所述互斥的數據集合中的數據單元上進行規則優化,以刪除分配在每個數據單元上的規則的衝突和冗餘;
(4)合併優化後的規則,生成優化的訪問控制安全策略。
優選的,所述將數據存儲至相應的存儲設備,包括:
(1)將小塊數據存儲至本地存儲器,並採用用戶定義的加密技術對小塊數據進行加密;
(2)將剩餘數據通過雲存儲加解密系統42加密後存儲到條碼信息雲資料庫2中;其中,當條碼信息雲資料庫2接收到數據後,雲對該數據進行完整性校驗後保存在存儲節點中。
上述兩個優選實施例設置數據預處理系統41,先對需保密的數據進行數據分割和數據抽取處理,再進行訪問控制安全策略中的規則細化,可以減少數據存儲的物理存儲空間,降低存儲的開銷,並消除訪問控制安全策略中的衝突和冗餘,提高訪問控制決策效率;通過數據抽取處理抽取部分數據存儲到本地存儲器中,其餘數據設置相應的訪問控制安全策略後存儲至條碼信息雲資料庫2中,解決了傳統的基於單純加密技術的雲存儲數據隱私保障機制在實際的數據操作過程中帶來的比較大的系統開銷和繁瑣,可以有效防止惡意用戶或雲存儲管理員非法竊取、篡改用戶的隱私數據,提高了需保密的數據存儲的安全性能。
優選的,所述雲存儲加解密系統42主要由數據擁有者、屬性機構、雲、可信三方、用戶五個實體構成,所述對需保密的數據進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統參數為其中α為隨機整數;
B、對於每個合法用戶,可信三方分配UAID並為其生成證書:
同時,公布合法用戶的身份驗證參數其中,CUAID∈ZP;
C、為數據擁有者和合法用戶生成身份密鑰對;
(2)生成基於身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基於身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數,βAID為屬性更新參數,ASUAID,AID為根據屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數,γ,∝AID,βAID∈ZP;
(3)雲存儲加解密系統42利用數據密鑰對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT,然後分別利用身份公鑰和屬性公鑰對數據密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合併生成數據密鑰DK:
DK=IK||AK
B、利用數據密鑰DK對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT後,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數據請求時,雲利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數據擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數據解密時,用戶收到數據後,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然後重構數據密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
本優選實施例通過設置雲存儲加解密系統42,能夠實現對多類型的數據的細粒度訪問控制和隱私保護,同時抵禦用戶和屬性機構共謀;對需保密的數據,分別構造基於身份的加解密密鑰、屬性加解密密鑰,合併構成數據加密密鑰對該數據進行加密,從而只有同時滿足身份和屬性雙重條件的用戶可以解密,極大提高了數據安全管理系統4的安全性能。
在此應用場景中,更新周期T取9,系統的安全性相對提高了9%。
應用場景5
參見圖1、圖2,本應用場景的一個實施例的一種安全存摺的條碼信息存取系統,所述安全存摺上設置有條碼信息,所述條碼信息存取系統包括信息編碼模塊1、條碼信息雲資料庫2和條碼信息識別模塊3;所述信息編碼模塊1用於將儲戶的身份證信息、指紋、照片、籤名、電話號碼信息中的其中一項或多項內容進行編碼,生成二維條碼;所述條碼信息雲資料庫2用於存儲儲戶的二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息;所述條碼信息識別模塊3用於讀取安全存摺上的條碼信息,解碼獲得安全信息,並與取款人輸入的信息進行自動對比,判斷是否相同。
優選的,所述條碼信息識別模塊3通過條碼識讀設備進行條碼信息讀取。
本發明上述實施例在安全存摺上設置條碼信息,且設計相應的條碼信息存取系統,提高了安全性能,從而解決了上述的技術問題。
優選的,所述條碼識讀設備包括接觸型圖像傳感器。
本優選實施例採用接觸型圖像傳感器進行條碼識讀,顯著提高了數據的密度。
優選的,所述條碼信息存取系統還包括用於對二維條碼信息以及相應的身份證信息、指紋、照片、籤名、電話號碼信息數據進行安全管理的數據安全管理系統4;所述數據安全管理系統4包括數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43和安全管理中心44;所述數據服務系統40用於負責數據的存儲、備份及查詢;所述數據預處理系統41用於將需保密的數據進行預處理;所述雲存儲加解密系統42用於按照優化的訪問控制安全策略對需保密的數據進行加密或解密;所述控制系統43用於將數據存儲至相應的存儲設備;所述安全管理中心44用於對各系統安全進行統一監控管理。
本優選實施例構建了數據安全管理系統4的系統結構。
優選的,所述負責數據的存儲、備份及查詢,包括:
(1)對數據格式進行轉換,建立適用於非關係資料庫進行存儲的格式;
(2)將數據分為基礎數據和專業數據,採用集中式和分布式結合的策略對數據進行存儲,存儲時所有數據都進行備份;所述集中式和分布式結合的策略包括:對於高於預設頻率的基礎數據採用集中式存儲,由數據管理中心統一維護,對於低於預設頻率的專業數據採用分布式存儲,由各專業數據中心分別維護;
(3)建立相應的數據檢索算法,對數據進行快速檢索,所述數據檢索算法採用目錄檢索和搜尋引擎相結合的方式進行,具體包括:建立數據目錄,根據目錄對數據進行初步檢索;在搜尋引擎輸入關鍵詞,對數據進行精確檢索;搜尋引擎按照一定的方式尋找匹配的數據,並根據數據與關鍵詞的匹配程度進行排序反饋給用戶。
本優選實施例採用目錄檢索和搜尋引擎結合的檢索算法,能夠快速、準確的獲取數據。
優選的,所述對各系統安全進行統一監控管理,包括:
(1)針對數據服務系統40、數據預處理系統41、雲存儲加解密系統42、控制系統43不同的安全防護要求採取對應的安全防護技術,配備相關的安全防護設備,形成完整的安全防護體制;
(2)建立有效的數據安全策略,對數據存儲、傳輸、訪問過程中的安全進行綜合考慮,不僅對數據進行加密,同時對數據的傳輸協議進行加密;
(3)建立病毒和木馬防禦機制,定期更新病毒庫和升級防火牆,更新周期為T,T取值為6-10天,對檢測到的異常數據要進行分析,並發出預警。
本優選實施例實現了對各系統安全的統一監控管理。
優選的,所述數據預處理系統41包括數據分割單元、數據抽取單元和訪問控制安全策略優化單元,所述數據分割單元用於對需保密的數據分割成多個互斥的數據集合;所述數據抽取單元用於對所述互斥的數據集合按照自定義的排序規則進行排序,將每個數據集合中的第一個數據單元按序抽取出來,與所述排序規則一起保存作為小塊數據,其中所述互斥表示數據集合中的兩兩數據單元之間不存在任何關聯;所述訪問控制安全策略優化單元用於基於細粒度資源分割的訪問控制安全策略優化方法生成系統的訪問控制安全策略,包括:
(1)基於被數據抽取單元處理後的互斥的數據集合,構建層次化數據數結構,所述層次化數據樹結構為三層數據樹結構,其包括服務層、邏輯層和物理層,所述服務層為與數據調度服務相關的樹根節點,所述邏輯層為訪問控制安全策略中關聯的數據,所述物理層包含所有互斥的數據集合中的數據單元;
(2)基於訪問控制標記語言XACML制定針對不同安全等級的數據的訪問控制安全策略,將訪問控制安全策略中與數據關聯的規則投影到所述互斥的數據集合中的數據單元上,從而將訪問控制安全策略中的規則細化到數據維度;
(3)在每個所述互斥的數據集合中的數據單元上進行規則優化,以刪除分配在每個數據單元上的規則的衝突和冗餘;
(4)合併優化後的規則,生成優化的訪問控制安全策略。
優選的,所述將數據存儲至相應的存儲設備,包括:
(1)將小塊數據存儲至本地存儲器,並採用用戶定義的加密技術對小塊數據進行加密;
(2)將剩餘數據通過雲存儲加解密系統42加密後存儲到條碼信息雲資料庫2中;其中,當條碼信息雲資料庫2接收到數據後,雲對該數據進行完整性校驗後保存在存儲節點中。
上述兩個優選實施例設置數據預處理系統41,先對需保密的數據進行數據分割和數據抽取處理,再進行訪問控制安全策略中的規則細化,可以減少數據存儲的物理存儲空間,降低存儲的開銷,並消除訪問控制安全策略中的衝突和冗餘,提高訪問控制決策效率;通過數據抽取處理抽取部分數據存儲到本地存儲器中,其餘數據設置相應的訪問控制安全策略後存儲至條碼信息雲資料庫2中,解決了傳統的基於單純加密技術的雲存儲數據隱私保障機制在實際的數據操作過程中帶來的比較大的系統開銷和繁瑣,可以有效防止惡意用戶或雲存儲管理員非法竊取、篡改用戶的隱私數據,提高了需保密的數據存儲的安全性能。
優選的,所述雲存儲加解密系統42主要由數據擁有者、屬性機構、雲、可信三方、用戶五個實體構成,所述對需保密的數據進行加密或解密,包括:
(1)可信三方為用戶和屬性機構分別分配用戶身份標識UAID和屬性機構身份標識AID,包括:
A、進行初始化,可信三方設定系統參數為其中α為隨機整數;
B、對於每個合法用戶,可信三方分配UAID並為其生成證書:
同時,公布合法用戶的身份驗證參數其中,CUAID∈ZP;
C、為數據擁有者和合法用戶生成身份密鑰對;
(2)生成基於身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰,其中所述基於身份的加解密密鑰包括身份公鑰GKUAID和身份私鑰CKUAID,所述屬性加解密密鑰包括屬性公鑰GKAID和屬性私鑰CKAID:
CKUAID=(∝AID,βAID)
其中,ASAID為單個屬性機構能夠分配的屬性集合,GKx為屬性x的公鑰,Bx為屬性x的版本號,∝AID為屬性機構的私鑰參數,βAID為屬性更新參數,ASUAID,AID為根據屬性機構的身份分配的屬性集合,γ為屬性機構隨機選擇的參數,γ,∝AID,βAID∈ZP;
(3)雲存儲加解密系統42利用數據密鑰對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT,然後分別利用身份公鑰和屬性公鑰對數據密鑰加密,生成身份密鑰密文CTU和屬性密鑰密文CTA,包括:
A、隨機生成兩個固定長度的字符串IK,AK,合併生成數據密鑰DK:
DK=IK||AK
B、利用數據密鑰DK對需存儲到條碼信息雲資料庫2的數據進行數據加密,得到密文CT後,利用屬性公鑰對AK加密,生成屬性密鑰密文CTA,利用身份公鑰對IK加密,生成身份密鑰密文CTU;
(4)進行代理重加密,當收到用戶的數據請求時,雲利用代理重加密密鑰將身份密鑰密文CTU轉化為指定用戶可解密的密文,其中所述代理重加密密鑰由數據擁有者用自身私鑰和身份公鑰計算生成;
(5)進行數據解密時,用戶收到數據後,分別利用身份私鑰CKUAID和屬性私鑰CKAID解密身份密鑰密文CTU和屬性密鑰密文CTA,然後重構數據密鑰,解密密文CT;
(6)進行屬性和身份密鑰的更新。
本優選實施例通過設置雲存儲加解密系統42,能夠實現對多類型的數據的細粒度訪問控制和隱私保護,同時抵禦用戶和屬性機構共謀;對需保密的數據,分別構造基於身份的加解密密鑰、屬性加解密密鑰,合併構成數據加密密鑰對該數據進行加密,從而只有同時滿足身份和屬性雙重條件的用戶可以解密,極大提高了數據安全管理系統4的安全性能。
在此應用場景中,更新周期T取10,系統的安全性相對提高了8%。
最後應當說明的是,以上實施例僅用以說明本發明的技術方案,而非對本發明保護範圍的限制,儘管參照較佳實施例對本發明作了詳細地說明,本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或者等同替換,而不脫離本發明技術方案的實質和範圍。